گروه هکری موسوم به (APT-C-50) کمیپنی برای جاسوسی از کاربرانی ایرانی به راه انداخته که شرکت امنیتی (ESET) از آن با عنوان کمپین «بچهگربههای اهلی» (Domestic Kitten) یاد کرده است.
به گفته محققان شرکت (ESET)، هکرها نسخه تازهای از بدافزار (FurBall) را در پوشش یک برنامه ترجمه انگلیسی به فارسی، در میان کاربران ایرانی توزیع کردهاند که هدف از آن جاسوسی از دستگاههای اندرویدی است. این برنامه آلوده از ماه ژوئن سال ۲۰۲۱ میلادی، تحت عنوان یک مترجم ارائه دهنده مقاله، مجله و کتابهای ترجمه شده از یک وبسایت جعلی به اشتراک گذاشته شده است. این تارنما، مشابه یکی از وبسایتهای ایرانی فعال است. اگرچه این برنامه دارای لوگوی (Google Play) است، اما این فروشگاه ارائه دهنده آن نیست و فایل نصبی برنامه مستقیما از سرور هکرها (VirusTotal) برروی دستگاه قربانی بارگیری میشود.
نسخه جاسازی شده (FurBall) در این برنامه مترجم آلوده از نظر عملکرد تفاوت چندانی با نسخههای پیشین این بدافزار ندارد، اما هکرها در نسخه تازه، نام کلاسها، روشها، رشتهها، گزارشها و آدرسهای سرور بدافزار را قدری مبهمسازی کرده و تغییرات کوچکی هم در بخش مربوط به فرمان و کنترل (C&C) آن ایجاد کردهاند تا در حد امکان این بدافزار را از دید برنامه های امنیتی و حفاظتی مخفی کنند. با این همه، آنتی ویروس (ESET Internet Security) کماکان آن را تحت عنوان (Android/Spy.Agent.BWS) شناسایی میکند.
اگرچه تمامی امکانان جاسوسی این بدافزار در حالت پیشفرض فعال نیست و در ابتدای از کاربران تنها مجوز نصب برنامه تقاضا میشود، که احتمالا برای عدم ایجاد شک نسبت به این برنامهاست، اما بعدتر، با گسترش مجوزها، هکرها میتواند طیف وسیعی از امکانات جاسوسی، نظیر متن از کلیپ بورد، مکان دستگاه، پیامک ها، مخاطب، گزارش تماس، تماس های تلفنی ضبط شده، متن تمام اعلانها از سایر برنامهها، حساب های دستگاه، فهرست فایل های موجود در دستگاه، برنامه های در حال اجرا، فهرست برنامه های نصب شده و اطلاعات دستگاه را گردآوری کنند. (FurBall) همچنین قادر است که هر ده ثانیه یک درخواست (HTTP) برای سرور (C&C) هکرها ارسال و فیلمها و عکسهای ضبط شده، فهرست مخاطبان، دادههای حافظه خارجی، لیست برنامههای نصب شده و بسیاری اطلاعات حساس دیگر را برای هکرها ارسال کند.
فعالیت های کمپین «بچهگربههای اهلی» مرتبط با گروه (APT-C-50) ابتدا در سال ۲۰۱۸ توسط شرکت امنیتی «چکپونیت» شناسایی شد. در گزارش این شرکت آمده بود که این کارزار از سال ۲۰۱۶ درحال جاسوسی سیار از گوشیهای اندرویدی کاربران ایرانی است. محققان (Trend Micro) نیز مدتی بعد فعالیتهای این کمپین را شناسایی و آن را تحت عنوان (Bouncing Golf) که با هدف جاسوسی از کاربران خاورمیانهای راه اندازی شده، گزارش کردند. محققان (Qianxin) نیز در همین سال گزارش مشابهی را از کمپین بچهگربههای اهلی منتشر کرده و (360 Core Security) نیز در سال ۲۰۲۰ رد پای این کمپین را در حمله به گروههای مخالف دولتهای مختلف در خاورمیانه شناسایی کرد. در سال ۲۰۲۱ «چکپونیت» باردیگر از این کمپین و بازیگران پشت پرده آن سخن گفت و حالا (ESET) میگوید که بدافزار (FurBall) احتمالا برگرفته از نسخه تجاری (KidLogger) است که کدهای متن باز آن کماکان در وبسایت (Github) موجود است.
محققان (ESET) میگویند، کمپین بچهگربههای اهلی همین حالا نیز درحال جاسوسی از کاربران ایرانی بوده و این امکان وجود دارد که بازیگران پشت پرده آن قربانیان را از طریق پیامهای متنی، مورد حمله نوع «فیشینگ نیزهای» (spearphishing) قرار دهند.
